arp-virusu

Bazı virüsler tehlikeli olmaktan ziyade antivirüs programları dahil bir çok seçeneği kullanmanıza rağmen sizi çaresiz bırakmasıyla ünlüdür. Bunlardan biri de ARP virüsü olsa gerek. ARP virüsü bulaştığı bilgisayarın hızını yavaşlatmakla kalmaz, internetini de yavaşlatır ve bilgilerinizi keylogger özelliği sayesinde kayıt altına alır ve kötü emelleri olan virüsün sahibine gönderir. ARP virüslerinden en çok etkilenenler ise internet kafeler olsa gerek. Çünkü internet kafelerde birden çok bilgisayar birbirine yerel ağ üzerinden bağlıdır. (dosya paylaşmak vs. için) ARP virüsü yerel ağ üzerinden tüm bilgisayarlara erişebilir; aynı zamanda kafenin internetini de yavaşlatır. Peki ARP virüsünden nasıl kurtulunur? ARP sorunu çözülür mü? ARP virüsünü silmek mümkün mü? İşte bu yazımda bu sorulara cevap vermeye çalışacağım.

ARP Nedir?

Öncelikle ARP’yi tanıyalım. Muhtemelen bu yazıyı okuyanlardan biriyseniz, bu tehlikeli virüs ile karşılaşmış olmanız gerekir. E bi tanışın madem. 🙂 ARP ingilizce Adress Resolotion Protocol kelimelerinin kısaltılmışıdır. Yani bunun türkçesi ise ethernet üzerinden birbirine bağlanmış bilgisayar ağında yani kablo ile birbirine bağlı ağlarda herhangi bir bilgisayarın İP adresini fiziksel adrese dönüştüren protokol demektir. Her ethernet kartının içerisinde bir fiziksel adres yer alır. ARP için bu fiziksel adres önemlidir, onun aracılığıyla ağınızı sömürür.

ARP Virüsü

ARP virüsünün ne kadar tehlikeli olduğunu anlamak için şunu bilmek yeterli: ARP virüsü kendini çok iyi gizler: bilgisayarın herhangi bir yerine kendini kopyalayabilir. Kopyalamayı boot sektörü üzerine bile yapabilir. Sürekli aktif halde çalıştığı için ARP protokolü üzerinden ağa sürekli sorgu gönderir ki zaten internetin yavaşlamasına etki eden de budur. Arka arkaya gönderilen bu sorgular ağı yavaşlatır. ARP virüsünün en büyük özelliği ise sadece bir bilgisayarı değil tüm ağı yönetmesi ve etkilemesidir.

ARP virüsü konusunda son zamanlarda çıkan antivirüs programları başarılı olsa da çoğu silmek konusunda tamamen etkisiz diyebiliriz. ESET antivirüs programı bazen ARP zehirlenmesi uyarısı vermekte ama silme konusunda başarısız olmaktadır.

ARP virüsünün bilgisayarda olup olmadığını yani ARP virüsünün belirtilerini şu şekilde saptamak mümkün:

  • İnternetin düzenli olarak yavaşlaması veya internet olmasına rağmen internete girilememesi
  • Aktif tarayıcı penceresi üzerinde internet sitesinin kaynak kodunu görüntülediğinizde sayfanın en yukarısında javascript kodlarının yer alması
  • İnternetin yavaşladığı anlarda, komut satırına arp -a komutu yazıldığında birden fazla Mac adresinin görülmesi
  • ESET antivirüs kullanıcılarına sürekli ARP zehirlenmesi uyarısının gelmesi
  • Bilgisayarlar kendi kendine yeniden başlamaya başlayabilir
  • Fare ve klavyeler kilitlenebilir

sayılabilir.

 ARP Virüsü Çözümü

ARP virüsü çok bela bir virüs. Bilgisayarınıza bulaştıysa şimdiden geçmiş olsun üzerine bir su için demekten başka bir şey gelmiyor aklıma. Çünkü neredeyse hiç bir program bu virüse tam çözüm üretemiyor üretenlerde sınırlı sayıda açıkçası ben kullanmadım. Bazı yorumlarda sildiğini söyleyenler var. Fakat ARP virüsünün çalışma mantığını yukarda anlattım. Bu mantığa göre en mantıklı çözüm format atmak.

O yüzden ARP virüsünden kurtulmanın en kesin yolu hiç bir yedek almadan tüm bilgisayara format atmak arkadaşlar. Çünkü virüsün nerede saklandığını bile bilmiyoruz.

ARP

Son olarak şunu söylemem lazım ki, ARP kısaca tüm şifrelerinizi, mail adreslerinizi ve alışkanlıklarınızı (yani girdiğiniz siteler vs) virüsü yapan kişiye gönderen bir virüstür. Bunu özellikle linux kullananlar daha iyi anlayacaktır. Aşağıdaki komut yardımıyla tüm verileri kendine çekebilir. Örnek kod:

nmap -sS 192.168.1.0/24( kurbanın ipsini al)
echo "1" >/proc/sys/net/ipv4/ip_forward

iptables -t nat -A PREROUTING -p tcp --destination-p ort 80 -j REDIRECT --to-port 7777
arpspoof -i eth0 -t (kurbanın ip adresi) (modemin ipsi)
sslstrip -p -l 7777(router)
tail -f sslstrip.log

Çözüm olarak format önerisini kullandım ama şunu da uyarayım: eğer bir kafe sahibiyseniz ve bu virüs bulaştıysa, tüm ağınıza da bulaşmış demektir ki kafede bulunan tüm bilgisayarlara tamamen format atmanız gerekmektedir. İnternette bu konuda anti arp denen programlarda var ama denemedim, isteyen deneyebilir. Bunun yanında virüs genellikle sabit İP si olan yerlere daha kolay bulaşabiliyor. Bunu da ekleyelim.

Yorum Yap